В iptables возможно ли ограничение по шлюзу?

Используя iptables, можно добавить действие DROP для определенного IP-адреса источника и / или IP-адреса назначения. Я хочу знать, возможно ли сбросить пакет на основе используемого (по умолчанию) шлюза?

iptables будет присутствовать на самом шлюзе, а правила DROP будут добавлены в цепочку FORWARD.

0
задан 14.04.2020, 12:40

1 ответ

Нет, не совсем.

Адрес шлюза или маршрут по умолчанию используется только для выбора интерфейса, из которого будет отправлен пакет, и MAC-адреса назначения, который следует использовать.

Входящий пакет вообще не содержит информации о том, какой адрес шлюза отправитель использовал для его доставки. Вы можете делать выводы только на основе того, что вы знаете о топологии и конфигурации интерфейса.

Если с MAC-адресом назначения связан только один IP-адрес, вы можете сделать вывод, что отправитель использовал этот IP-адрес для поиска MAC-адреса. Если вы отбрасываете пакеты, которые имеют MAC-адрес этого интерфейса, но не IP-адрес этого интерфейса, в качестве пунктов назначения для кадра и пакета, вы можете сделать вывод, что отправитель использовал адрес этого интерфейса в качестве шлюза.

Если MAC-адрес назначения находится на интерфейсе, который имеет несколько адресов в одной подсети, невозможно определить, какой из этих адресов отправитель использовал в качестве своего шлюза.

2
ответ дан 14.04.2020, 12:40

Теги

Похожие вопросы